Privacyreglement Begripsbepalingen In dit reglement wordt verstaan onder:
Persoonsgegevens
Verantwoordelijke
Elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon.
De besloten vennootschap met beperkte aansprakelijkheid GOED BV, gevestigd aan de Fascinatio Boulevard 1176 (2909 VA) te Capelle aan de IJssel die, alleen of tezamen met anderen, het doel van en de middelen voor de verwerking van Persoonsgegevens vaststelt.
Medische gegevens Die Persoonsgegevens, direct of indirect betrekking hebbend op de lichamelijke of geestelijke gesteldheid van betrokkene, verzameld door een gecertificeerde bedrijfsarts op het gebied van de gezondheidszorg in het kader van zijn beroepsuitoefening.
Bewerker Degene die ten behoeve van GOED BV Persoonsgegevens verwerkt, zonder aan zijn rechtstreeks gezag te zijn onderworpen.
Verwerking van persoonsgegevens
Beheerder
Elke handeling of elk geheel van handelingen met betrekking tot Persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens.
Degene die onder de Verantwoordelijke is belast met de dagelijkse zorg voor de Verwerking van Persoonsgegevens of een gedeelte daarvan.
Bestand Elk gestructureerd geheel van persoonsgegevens, ongeacht of dit geheel van gegevens gecentraliseerd is of verspreid is op een functioneel of geografisch bepaalde wijze, dat volgens bepaalde criteria toegankelijk is en betrekking heeft op verschillende personen.
Gebruiker Degene die geautoriseerd is tot het invoeren en/of muteren van Persoonsgegevens dan wel tot het kennisnemen van enigerlei uitvoer van de Persoonsgegevens.
Betrokkene De Werknemer op wie een persoonsgegeven betrekking heeft of zijn uit de wet voortvloeiende vertegenwoordiger.
De Wet Wet bescherming persoonsgegevens (Wbp).
Reglement Dit onderhavige privacyreglement.
1|Pagina
Reikwijdte Dit Reglement is van toepassing op de geheel of gedeeltelijk geautomatiseerde verwerking van Persoonsgegevens, alsmede de niet geautomatiseerde verwerking van Persoonsgegevens die in een Bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen, door personen in dienst of werkzaam ten behoeve van GOED BV.
Aanmelding Autoriteit Persoonsgegevens Dit Privacyreglement voldoet aan de Wet bescherming persoonsgegeven en is aangemeld bij de Autoriteit Persoonsgegevens (AP) te Den Haag onder meldingsnummer 1505706. Het APmeldingenregister is te raadplegen via hun website: http://www.autoriteitpersoonsgegevens.nl.
Doel van de Persoonsregistratie 1.
2.
Persoonsgegevens worden voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden verzameld en worden in overeenstemming met de Wet en op behoorlijke en zorgvuldige wijze verwerkt. Deze doeleinden worden onderverdeeld in hoofd- en nevendoelen. Hoofddoel het bevorderen en beschermen van de gezondheid, de veiligheid en het welzijn van werknemers van/in de bij GOED BV aangesloten bedrijven of van werknemers in dienst van contractanten of derden; Nevendoel Het vastleggen en beschikbaar stellen van informatie, (mede)verkregen op grond van opgeslagen Persoonsgegevens, ten behoeve van een doelmatig beleid en beheer van de dienstverlening.
Rechtmatige grondslag Verwerking van Persoonsgegevens Op grond van artikel 8 AP mogen Persoonsgegevens slechts worden verwerkt indien daarvoor een rechtmatige grondslag aanwezig is. Er is sprake van een rechtmatige grondslag indien: 1. 2. 3. 4.
De hierover vooraf geïnformeerde Betrokkene voor de verwerking schriftelijk zijn ondubbelzinnige toestemming heeft verleend; de gegevensverwerking noodzakelijk is voor de uitvoering van een overeenkomst waarbij de Betrokkene partij is; gegevensverwerking noodzakelijk is voor de nakoming van wettelijke verplichtingen van Verantwoordelijke; gegevensverwerking noodzakelijk is ter vrijwaring van een vitaal belang van de Betrokkene;
5. De gegevensverwerking noodzakelijk is voor de goede vervulling van een publiekrechtelijke taak door het bestuursorgaan waaraan de gegevens worden verstrekt, gegevensverwerking noodzakelijk is voor de behartiging van het gerechtvaardigde belang van Verantwoordelijke of van een derde aan wie de gegevens worden verstrekt, tenzij het belang of de fundamentele rechten en vrijheden van de Betrokkene, in het bijzonder het recht op bescherming van de persoonlijke levenssfeer, prevaleert.
2|Pagina
6.
7.
GOED BV is verantwoordelijk voor het goed functioneren van de Verwerking van Persoonsgegevens en treft de nodige voorzieningen ter bevordering van de juistheid en volledigheid van de opgenomen gegevens. Zijn zeggenschap over de Verwerking van de persoonsgegevens en de verstrekking van die gegevens wordt beperkt door dit Reglement. GOED BV bepaalt wie de eventuele Bewerker van verwerkte Persoonsgegevens is. GOED BV verplicht de Bewerker om dit Reglement na te leven. De taken, rechten en verplichtingen van de Bewerker worden door GOED BV schriftelijk vastgelegd.
De Bewerker is verantwoordelijk voor het goed functioneren van de onder zijn beheer staande faciliteiten. Hij zal toepasselijke technische en organisatorische beveiligingsmaatregelen nemen ten aanzien van onder andere apparatuur, programmatuur en de Persoonsgegevens die, gezien de huidige stand der techniek en de daarmee gemoeide kosten, overeenstemmen met de aard van de te verwerken Persoonsgegevens en de opdracht waarin de Persoonsgegevens worden gebruikt, ter bescherming van de Persoonsgegevens tegen verlies of onrechtmatige verwerking. De ter zake getroffen regeling(en) is/zijn bij de Bewerker in te zien.
Opgenomen gegevens 1.
2.
GOED BV bepaalt wie de eventuele Bewerker van verwerkte Persoonsgegevens is. GOED BV verplicht de Bewerker om dit Reglement na te leven. De taken, rechten en verplichtingen van de Bewerker worden door GOED BV schriftelijk vastgelegd. De Verwerking van Persoonsgegevens kan ten hoogste deze gegevenscategorieën bevatten: Persoonsgegevens Personalia en identificatiegegevens (stamgegevens); Financiële en administratieve gegevens; Werkplekgegevens. Medische gegevens (para-)medische, sociale en psychologische gegevens.
Deze categorieën gegevens alsmede de herkomst daarvan worden nader gespecificeerd in Bijlage A bij dit Reglement. Deze bijlage vormt één geheel met dit Reglement. 3.
Werkwijze van de persoonsregistratie: de BSN-nummers van medewerkers van klanten die door GOED vanwege ziekteverlof begeleid of bijgestaan worden, worden opgenomen in het digitale verzuimsysteem. De bedrijfsarts legt de onderzoeksgegevens, de beschouwing, persoonlijke aantekeningen en de conclusie vast het digitale verzuimsysteem. de werkgever of casemanager krijgt een leken gedeelte te zien. Hierin staan geen medische gegevens of informatie. medische gegevens of informatie worden uitsluitend opgenomen in het afgeschermde medische dossier. Dit is uitsluitend inzichtelijk voor de bedrijfsarts en zijn assistent die werkt in de gedelegeerde taak constructie met Bedrijfsarts (behandelteam/verlengde arm).
3|Pagina
Beveiliging 1.
2.
GOED BV heeft passende organisatorische en technische maatregelen getroffen ter beveiliging van de Verwerking van Persoonsgegevens tegen verlies of aantasting van de gegevens en tegen onbevoegde kennisneming, wijziging of verstrekking daarvan. Geautomatiseerde registraties zijn slechts toegankelijk via de uitsluitend bij de Gebruikers bekende autorisatiecodes en/of wachtwoorden. Gelijke plicht rust op de Bewerker voor het geheel of het gedeelte van de faciliteiten die hij onder zich heeft. De Verantwoordelijke ziet er op toe dat de Bewerker eveneens handelt dienovereenkomstig de voorschriften van artikel 13 AP. Digitale gegevens
Elektronische persoonsgegevens worden zodanig beveiligd dat onbevoegden geen toegang kunnen krijgen tot deze gegevens. Het hoogst mogelijke beveiligingsniveau wordt toegepast.
Papieren gegevens
Daar waar er sprake is van persoonsgegevens op papier worden deze in afsluitbare kasten opgeborgen. Alleen geautoriseerde medewerkers hebben toegang tot de sleutel van deze kasten. GOED BV hanteert bij het aanvaarden van een nieuwe opdracht in het kader van arbodienstverlening voorwaarden aan de situering en inrichting van de onderzoekskamer voor haar medewerkers. Op hoofdlijnen zijn deze: de ruimte kan vanaf de gang niet ingezien worden, de muren zijn voldoende geïsoleerd zodat gesprekken in de naaste ruimten niet hoorbaar zijn.
Spreekkamers
Bewaartermijnen 1.
2.
3.
4.
GOED BV zal de Persoonsgegevens niet langer bewaren, dan noodzakelijk is voor de verwezenlijking van de doeleinden waarvoor zij worden verzameld of vervolgens worden verwerkt, tenzij de Persoonsgegevens noodzakelijk zijn ter voldoening aan een in specifieke wetgeving opgenomen concrete bewaartermijn of bewaarverplichting. Voor Medische gegevens geldt in beginsel een bewaartermijn van 15 jaar, te rekenen vanaf het einde van de behandeling. De termijn kan eventueel langer zijn indien dit voor een zorgvuldige hulpverlening noodzakelijk is. Indien de bewaartermijn is verstreken, worden de betreffende gegevens binnen een termijn van één jaar uit de registratie vernietigd, tenzij een wettelijk voorschrift zich tegen vernietiging verzet. De gegevens kunnen tot slot in geanonimiseerde vorm behouden blijven. De vernietiging van Medische gegevens kan bovendien achterwege blijven als redelijkerwijs aannemelijk is dat verdere bewaring van aanmerkelijk belang kan zijn voor een ander dan de Betrokkene, bijvoorbeeld de arts zelf als de Betrokkene een gerechtelijke procedure tegen hem heeft aangespannen, of voor een nakomeling van de Betrokkene in geval deze een erfelijke ziekte heeft.
4|Pagina
Informatierecht 1.
2. 3.
4.
De Betrokkene is gerechtigd om GOED BV om informatie over (de verwerking van) zijn/haar Persoonsgegevens te verzoeken, zonder dat de Betrokkene daarbij een bijzondere reden hoeft op te geven. GOED BV zal binnen vier weken schriftelijk reageren op een dergelijk informatieverzoek. GOED BV kan buitensporige verzoeken om informatieverstrekking afwijzen. Van buitensporige verzoeken is sprake wanneer de Betrokkene GOED BV meer dan gemiddeld en noodzakelijk benadert met informatieverzoeken. GOED BV draagt zorg voor een deugdelijke vaststelling van de identiteit van de verzoeker.
Recht op verbetering, aanvulling, wijziging, vernietiging en afscherming 1.
2.
3. 4.
De Betrokkene kan GOED BV schriftelijk verzoeken om gegevens te verbeteren, aan te vullen, te wijzigen, te vernietigen of af te schermen, wanneer deze gegevens feitelijk onjuist, voor het doel van de verwerking onvolledig of niet ter zake dienend zijn dan wel anderszins in strijd met een wettelijk voorschrift worden verwerkt. Het verzoek bevat een opgave van betreffende gegevens en eventuele wijzigingen. GOED BV zal uiterlijk binnen vier weken na ontvangst van het verzoek kenbaar maken of en in hoeverre aan het verzoek tegemoet wordt gekomen. Een eventuele weigering zal daarbij door GOED BV worden gemotiveerd. GOED BV draagt ervoor zorg dat een beslissing tot verbetering, aanvulling, vernietiging of afscherming van gegevens zo spoedig mogelijk wordt uitgevoerd. Aanvulling, correctie of vernietiging van opgenomen Persoonsgegevens geschiedt te allen tijde met in achtneming van de wettelijk voorschriften.
Onder curatele gestelden en door rechter toegewezen mentor Met betrekking tot Betrokkenen, die niet beschikkingsbevoegd zijn om zelfstandig rechtshandelingen te verrichten, geldt dat rechten van Betrokkenen moeten worden uitgevoerd door hun wettelijke vertegenwoordiger(s). GOED BV zal de mededelingen vervolgens ook aan de wettelijke vertegenwoordiger(s) doen.
Recht van verzet 1. 2.
3.
Indien gegevens het voorwerp zijn van verwerking, kan de Betrokkene daartegen bij GOED BV Te allen tijde verzet aantekenen in verband met zijn bijzondere persoonlijke omstandigheden. Goed BV beoordeelt binnen vier weken na ontvangst van het verzet of het verzet gerechtvaardigd is. Indien het verzet gerechtvaardigd is beëindigd GOED BV terstond de Verwerking van de Persoonsgegevens. GOED BV kan voor het in behandeling nemen van een verzet een vergoeding van kosten verlangen. De vergoeding wordt teruggeven in het geval het verzet gegrond wordt bevonden.
5|Pagina
Toegang tot Persoonsgegevens 1.
2.
3. a.
b.
Onverminderd enig wettelijke voorschriften hebben uitsluitend toegang tot de Medische Gegevens van een Betrokkene de gecertifieerde bedrijfsarts die deze gegevens verzameld, diens waarnemer(s) en diegenen die tot het behandelteam van de Betrokkene worden gerekend. Voorts hebben de Beheerder en de Bewerker toegang tot algemene Persoonsgegevens van Betrokkene, voor zover dit in het kader van het te realiseren doel en het beheer en bewerking daarvan, noodzakelijk is. GOED BV heeft als zodanig geen toegang tot de verwerkte Persoonsgegevens, tenzij dit noodzakelijk is in verband met de uitvoering van haar wettelijke en contractuele verplichtingen en in verband met zijn algemene verantwoordelijkheid. GOED BV heeft de volgende autorisatie procedure opgesteld: Inbreng gebruiker: De medewerker die op basis van zijn of haar functie (zie bijlage B) toegang nodig heeft tot het digitale verzuimsysteem wordt door de systeembeheerder op aangeven van de Manager operatie en kwaliteit geautoriseerd. Einde gebruik: Indien een gebruiker van functie verandert of zijn/haar werkzaamheden binnen GOED BV stopt zal de autorisatie op aangeven van de Manager operatie en kwaliteit worden beëindigd.
Verstrekking van gegevens 1.
2.
Op basis van geldende wet- en regelgeving kunnen (algemene) Persoonsgegevens worden verstrekt aan personen en instanties wier taak het is de verleende begeleiding te controleren en te toetsen, enkel indien er voor zover de gegevensverstrekking noodzakelijk is voor de uitoefening van hun wettelijk taak. GOED BV verstrekt, indien dit is overeengekomen met de werkgever, periodiek uit de ziekteverzuimregistratie statistische, niet tot een individueel persoon herleidbare, gegevens met betrekking tot het ziekteverzuim van de organisatie van de werkgever in de vorm van overzichten.
Vernietiging c.q. anonimiseren van opgenomen Persoons- en Medische gegevens a.
b.
Na afloop van de periode gedurende welke Betrokkene onder de zorg van de geregistreerde bedrijfsarts valt, kan de Betrokkene verzoeken om de vernietiging van zijn Persoonsgegevens inclusief Medische gegevens. Daartoe dient hij een schriftelijk gemotiveerd verzoek in bij GOED BV. Dit verzoek kan worden geweigerd indien bewaring op grond van een wettelijk voorschrift vereist is. Bovendien kunnen de gegevens na het verzoek in geanonimiseerde vorm behouden blijven. Het verzoek tot vernietiging van Medische gegevens kan bovendien worden geweigerd als redelijkerwijs aannemelijk is dat verdere bewaring van aanmerkelijke belang kan zijn voor een ander dan de Betrokkene, bijvoorbeeld de arts zelf als de Betrokkene een gerechtelijk procedure tegen hem heeft aangespannen, of voor een nakomeling van de Betrokkene in geval deze een erfelijke ziekte heeft.
6|Pagina
Overdracht van Persoonsgegevens 1. 2.
Overdracht van opgenomen Persoonsgegevens geschiedt te allen tijde met in achtneming van de wettelijk voorschriften. Terzake de overdacht van Persoonsgegevens van Betrokkene aan een andere Verantwoordelijke mag door GOED BV een redelijke vergoeding in rekening worden gebracht.
Klachten 1.
2.
Indien de Betrokkene van mening is dat de bepalingen vanuit dit Reglement, de AP of andere wet- en regelgeving niet juist worden nageleefd of andere redenen heeft tot klagen, kan deze zich wenden tot GOED BV. Met betrekking tot de wijze van indiening van klachten en de afhandeling daarvan zijn door GOED BV nadere voorschriften opgesteld, zoals vastgelegd in het Klachtenreglement.
Looptijd van de registratie 1. 2.
Onverminderd eventuele wettelijke bepalingen is dit Reglement van kracht gedurende de bewaartermijn zoals aangegeven in het hoofdstuk Bewaartermijnen. In geval van een voorgenomen overdracht of overgang van de Persoonsgegevens naar een andere Verantwoordelijke dient de Betrokkene voorafgaand aan de overdracht of overgang schriftelijk zijn toestemming te verlenen.
Dit Reglement 1.
2. 3.
Wijzigingen van dit Reglement worden aangebracht door GOED BV. De wijzigingen in het Reglement zijn van kracht vier weken nadat ze bekend zijn gemaakt aan belanghebbenden en indien en voor zover belanghebbende geen bezwaren hebben ingebracht. De door de directie aangestelde beheerder is de Manager operatie en kwaliteit Driemaal per jaar voert GOED een interne systeem controle uit op alle regeling en afspraken die gemaakt zijn om de privacy te waarborgen. Daarnaast wordt GOED minimaal eenmaal per jaar geauditeerd door een externe onafhankelijke instantie.
Datalekken Indien GOED geconfronteerd wordt met (het vermoeden) van een datalek, dan volgt GOED de volgende procedure: Elk vermoeden op een beveiligingsincident of beveiligingsincident wordt direct gemeld bij de Manager operatie en kwaliteit. De Manager operatie en kwaliteit bepaalt in samenspraak met de Medisch adviseur of er sprake is van een datalek. Indien er sprake is van een datalek bespreken ze wie de meest gerede partij is om een melding bij de Autoriteit Persoonsgegevens te doen. De Manager operatie en kwaliteit licht, in geval van een ernstig datalek, de Betrokkene in over het datalek en de melding bij de Autoriteit Persoonsgegevens. Manager operatie en kwaliteit neemt het initiatief om een analyse te maken, om een zelfde soort datalek in de toekomst te voorkomen.
7|Pagina
Inwerkingtreding Dit Reglement is per 2 april 2016 in werking getreden en bij GOED BV in te zien en opvraagbaar.
Overzicht Onderstaand een overzicht van de bijlagen waarnaar in dit Reglement wordt verwezen. Deze bijlage vormen één geheel met het Privacyreglement voor de Verwerking van Persoonsgegevens. Deze bijlage zijn: Bijlage A; Bijlage B. Deze bijlagen zijn in werking getreden op 02 april 2016. Namens GOED BV De heer E. van der Linde, directeur.
8|Pagina
Bijlage A: Gegevens die worden vastgelegd in de “Ziekteverzuim/ Arbeidsomstandighedenregistratie” Persoons- en administratieve gegevens NAW-gegevens Geboortedatum Telefoon E-mail Nationaliteit Geslacht Werkgeversgegevens Datum: In- uitdiensttreding BSN nummer Inkomensgegevens Bank/gironummer Functie Aanstellingsomvang Verzuimgegevens: data van ziek- en (vermoedelijke) herstel meldingen, aantal ziektedagen, arbeids(on)geschiktheidspercentage Medische gegevens Aard en oorzaak ziekte (diagnose) Gegevens over de inhoud van consulten (onderzoek, diagnose, verslag) Gegevens over actuele of vroegere gezondheidsproblemen Arbeidsmogelijkheden en belastbaarheid Knelpunten functie + kwaliteit arbeidsverhouding Beperkingen + re-integratie activiteiten Biometrische gegevens Gegevens van (huis)artsen, medisch specialisten en andere artsen, opgevraagd met toestemming van de betrokkene Toestemmingsverklaringen voor het opvragen van medische informatie Rapportages aan het UWV
9|Pagina
Bijlage B: Toegang tot de persoonsgegevens Deze bijlage betreft alle persoonsregistraties genoemd bij het overzicht persoonsregistratie. Onderstaand overzicht is uitgangspunt voor de toegang tot deze persoonsregistratie. Per gegevenscategorie wordt aangegeven vanuit welke functie welk type van activiteiten mag worden ondernomen. Functie Arbodienst Bedrijfsarts A&O-deskundige Arbeidshygiënist Veiligheidskundige Inzetbaarheidsspecialist Inzetbaarheidsspecialist in gedelegeerde taken Arbodienst P&O/HR Casemanager Manager
Persoonlijke Administratieve gegevens gegevens
Leken dossier
Medische gegevens
R X X X M M
R X X X R R
M X X X V M
V X X X X M
R R R
R R R
M M M
X X X
Verklaring van de gebruikte letters en tekens: R = raadplegen M = raadplegen èn invoeren/muteren V = raadplegen, invoeren/muteren en verwijderen X geen toegang
10 | P a g i n a